Os criadores de golpes de phishing encontraram uma maneira de contornar mecanismos direcionados a aplicativos projetados para roubar informações pessoais. Estas medidas não funcionam contra Progressive Web Apps (PWA), cujos privilégios são mais baixos e as capacidades são mais modestas.
Fonte da imagem: Gerd Altmann / pixabay.com
No iOS, você só pode instalar aplicativos da App Store, e no Android, por padrão, você só pode instalar aplicativos do Google Play — se você tentar usar outra fonte, o sistema exibirá um aviso. Descobertas nos últimos nove meses, as campanhas de phishing visam enganar as vítimas para que instalem um aplicativo malicioso que se disfarça de cliente bancário oficial. Uma vez instalado, ele rouba dados da conta e os envia ao invasor em tempo real via Telegram, alertam especialistas da ESET.
Ao atacar usuários de iOS, um PWA tradicional é usado – um site desenvolvido por invasores não é aberto por meio de um navegador, mas com uma imitação de um aplicativo completo; Os usuários do Android são, em alguns casos, induzidos a instalar uma subversão especial dele – WebAPK. O ataque começa quando uma vítima em potencial recebe uma mensagem de texto, uma chamada automática ou clica em um link de anúncio malicioso no Facebook✴ ou Instagram✴. Depois de abrirem o link, eles serão direcionados para uma página que imita a App Store ou o Google Play.
No caso do iOS, instalar um PWA é um pouco diferente de instalar um aplicativo padrão – é exibida ao usuário uma janela pop-up com instruções de instalação, simulando uma mensagem do sistema da plataforma. Se um usuário Android instalou o WebAPK via Google Play, sua vigilância é embalada pelo fato de que a descrição indica que o aplicativo não possui privilégios de sistema. De qualquer forma, após a instalação, o usuário é solicitado a inserir suas credenciais de acesso ao banco online, e todas as informações inseridas são enviadas para um servidor controlado pelos golpistas.
O novo regime está actualmente a ser utilizado principalmente na República Checa, mas já foram observados incidentes na Hungria e na Geórgia. Os especialistas em segurança cibernética assumem que o número de tais incidentes aumentará e a sua geografia se expandirá.
A RedMagic revelou diversas características importantes de seu novo smartphone para jogos, que será oficialmente…
Os jogos de RPG roguelike sombrios Darkest Dungeon e Darkest Dungeon II ficaram marcados na…
A Palit apresentou a placa de vídeo GeForce RTX 5080 com seu novo design Infinity…
A Broadcom anunciou um chip PON 10G otimizado e produtos Wi-Fi 8 relacionados para acesso…
A PowerColor lançou a placa gráfica profissional Radeon AI PRO R9600D para estações de trabalho…
O tão aguardado terceiro pacote de expansão para o RPG de ação e fantasia The…